Я понял, вы имеете ввиду расширенное восстановление, при котором на дисплее отбражаются буквосочетания. Верно. Но дисплей то не "тыкается" - подтверждалки все равно тыкаем в браузере, но по любому, продумано достаточно безопасно, я так считаю.
По поводу ввода с клавы, тут я вас полностью поддерживаю, лучше этого избегать, задача может существенно облегчиться, особенно если зараза на машине умеет делать скриншоты. А так то х.з. не думал серьезно - слова то вы полностью никогда не вводите - всплывают же подсказки с вариантами, и если судить по паре букв, то вариантов для брута становится существенно больше.
Я давно уже критикую Трезор за то, что они подвергают своих пользователей огромному риску, заставляя что-то там вводить в браузере. Это касается не только секретной фразы, но и возможности ввода пассфразы на клавиатуре вместо устройства. Ну в конце концов, мы покупаем аппаратник для безопасной работы с секретными ключами, а тут получается, что все секреты у всех на обозрении. Неопытный криптовалютный пользователь еще имеет привычку устанавливать всякие кошельки и крипто-приложения в браузер и кто его знает, что за информацию они собирают. Так и получается, что конфискация приходит откуда не ждешь - хакеры давно получили все ключи и просто жду депозита внушительной суммы.
По поводу сложности брутфорса: пусть это и займет много времени, но сама мысль что кто-то там имеет возможность брутфорсить ваши ключи должна пугать. Я предпочел бы не давать ни намека какие там первые буквы в словах.